重大な脆弱性を修正してからわずか数週間後、Adobe SystemsはReaderとAcrobatソフトウェアの新たなパッチを急いでリリースしました。同社は木曜日にFlash Playerの重大な脆弱性も修正しました。
Flash Playerの脆弱性は、攻撃者がWebブラウザを欺いて本来の動作を行わせないようにするために利用される可能性がありますが、いわゆるリモートコード実行の脆弱性ではありません。つまり、この脆弱性を利用して不正なソフトウェアを被害者のコンピュータに直接インストールすることはできないと、Adobeの製品セキュリティおよびプライバシー担当ディレクター、ブラッド・アーキン氏は述べています。
このバグが悪用された場合、「攻撃者は一般的なクロスサイトリクエストフォージェリ攻撃を実行できるようになる」とアーキン氏は述べた。アドビはこの問題を「重大」と評価している。
Adobeは通常、ReaderとAcrobatを四半期ごとのセキュリティアップデートでパッチとして公開しているが、これらの製品もFlash Playerの脆弱性の影響を受けるため、来週火曜日の修正プログラムを急いで公開せざるを得ないとアーキン氏は述べた。「Flash Playerのアップデートをできるだけ早くユーザーに提供したいと考えました」とアーキン氏は述べた。「協調的なリリースのためにこれ以上時間を待つつもりはありませんでした。」
理論上、ハッカーはFlash Playerのパッチを見てバグを発見し、その情報を使ってReaderとAcrobatを攻撃することが可能ですが、Adobeはハッカーにこの作業を完了するための猶予期間をわずか5日間しか与えていません。アーキン氏によると、現時点ではAdobeはこのFlash Playerのバグを悪用した攻撃は確認されていないとのことです。
Reader で Flash Player のバグが悪用されることを心配しているユーザーは、ブラウザー外で文書を開くことで脅威を軽減できるとアーキン氏は述べた。
同氏はさらに、来週の Reader および Acrobat のアップデートでは、PDF 閲覧ソフトウェアの別の未公開の問題も修正される予定だと付け加えた。
この欠陥は Windows、Mac、Unix プラットフォームに影響を及ぼします。
Adobeのセキュリティは、過去1年間、攻撃者がReaderとAcrobatの脆弱性を悪用してコンピュータに侵入するケースが増加したことで、厳しく精査されてきました。Readerはほぼすべてのデスクトップコンピュータにインストールされているため、巧妙に仕組まれたReader攻撃は、Internet ExplorerやFirefoxを標的とした攻撃よりも多くの被害者に影響を与える可能性があります。
Adobe の次回の Reader および Acrobat アップデートは 4 月 13 日に予定されています。
また、アドビは木曜日に、オープンソースのメッセージングソフトウェア「BlazeDS」の「重要な」バグを修正した。
